¿Puede un enrutador de creación propia minimizar el riesgo potencial del motor de administración de intels (ME)?

5

Leí algunas cosas sobre intels ME y me interesé debido a su enorme amenaza de seguridad para básicamente (más o menos) todos los sistemas de inteligencia desde 2008. Y me encontré con el gran trabajo de @ igor-skochinsky que hizo un muy buen trabajo. presentación sobre las cosas que descubrió.

No hay posibilidad de deshabilitar el ME de una manera confiable ni se puede reemplazar con una imagen personalizada. Hay intentos de eliminarlo tanto como sea posible sin encontrar contramedidas ( enlace ). Por lo tanto, resolver este problema en una máquina en sí es un poco difícil, pero ¿y si se tratara fuera de la máquina?

Ya que pienso en construir mi propio enrutador seguro (tal vez usando algún BSD como NetBSD, OpenBSD, etc.) como punto de entrada a mi red local, comencé a preguntarme si podría proteger cada máquina de inteligencia potencialmente amenazada en mi red local. ¿Con un enrutador hecho en casa que no contiene hardware de Intel o quizás incluso AMD (usan algo llamado PSP)?

Más adelante, me preguntaba si mejoraría la seguridad del enrutador en lo que respecta a mi ME cuando se usa una NIC a través de PCI en el enrutador porque se dice que la interfaz de ME ¿solo está disponible en la NIC principal? Ese sería el NIC de la placa base, ¿verdad?

¿Y finalmente sería suficiente cuando el enrutador tenga algún tipo de lista blanca de las direcciones MAC e IP que están explícitamente permitidas, ya que se dice que el ME tiene su propia dirección MAC e IP? Quiero decir, simplemente podría agregar las direcciones de todos los dispositivos de la red local a la lista blanca y luego, ya no será posible cada intento de comunicación o de crear el ME.

Entonces, la idea es básicamente una especie de computadora de escritorio que se endurece tanto como sea posible pero sin volverse loco. Se agradece cada idea o consejo sobre cómo cumplir ese objetivo.

Mi primera pregunta, espero que esté bien.

    
pregunta user6775658 27.06.2017 - 00:26
fuente

3 respuestas

1

Investigaciones recientes demuestran que hay una forma confiable de deshabilitar ME y fue publicado recientemente por Positive Technologies aquí . También hay me_cleaner implementación adicional para la correa HAP PCH.

En caso de que su enrutador sea hecho en casa y una posible amenaza de AMD PSP. En mi opinión, sería muy difícil implementar eso. Tenga en cuenta que si los chips tienen acceso a la interfaz de red, puede usar una conexión segura iniciada desde dentro de su red, ¿por lo tanto, cómo diferenciaría entre su tráfico saliente seguro y uno malicioso?

En caso de usar NIC incorporado vs externo. No hay ninguna diferencia, si utiliza hardware o firmware potencialmente no confiable para su enrutador, pero suponiendo que utilizará hardware y firmware de confianza, debe asegurarse de que no haya ROM ni ningún chip interno incorporado NIC externo y otros componentes que puedan interactuar con NIC detrás de la escena.

    
respondido por el Piotr Król 30.09.2017 - 23:45
fuente
0

Si no estás usando ME / AMT, apágalo.

Si su ME / AMT no está provisto de red (en su BIOS); y no tiene instalado el software / los controladores para habilitarlo, debería estar seguro de todos modos.

Si confía en un dispositivo de borde de red como su enrutador para diferenciar el tráfico de administración legítimo del malicioso (es decir, un rol de IDS / IPS). Entonces, es mejor que entienda la firma de tráfico del Ataques AMT / ME.

    
respondido por el CGretski 25.11.2017 - 00:54
fuente
0

Tengo la sensación de que su pregunta se refiere tanto a Intel ME como a Intel AMT, por lo que, en primer lugar, creo que deberíamos hacer una distinción entre Intel ME e Intel AMT:

  • Intel ME : es un subsistema autónomo que se ejecuta en un microprocesador separado, está incorporado en prácticamente todos los conjuntos de chips de procesadores de Intel desde 2008. Realiza tareas durante el arranque, mientras la computadora está funcionando y mientras está inactiva.

  • Intel AMT : es una tecnología especial para salida remota gestión de la banda de las computadoras, y se ejecuta dentro de Intel ME. Por lo general, Intel AMT solo está presente en PC de categoría empresarial, por ejemplo, muchas computadoras portátiles Lenovo Thinkpad lo tienen.

Si bien el propietario no puede proporcionar AMT, no hay una manera oficial y documentada de deshabilitar el ME. Hay algunas formas no oficiales, pero a menudo involucran un interruptor SPI de hardware (consulte ME_Cleaner y Libreboot ).

[ También tengamos en cuenta que el funcionamiento interno de estas tecnologías es cerrado y confuso, por lo que es difícil trazar líneas exactas sobre lo que pueden o no pueden hacer. ]

Teniendo esto en cuenta, proporcionaría la siguiente respuesta:

  • Con respecto al enrutador , Utilizo una pequeña PC de una sola placa con una CPU ARM que ejecuta OpenWRT, y la configuro para que coloque todo el tráfico entrante / saliente en los puertos que se sabe que utilizan Intel ME / AMT. (a pesar de ser de código cerrado Intel ME / AMT, es difícil decir si esto es suficiente).

  • Con respecto a la NIC en la PC , " ... El ME tiene su propia dirección MAC e IP para la interfaz fuera de banda, con acceso directo al controlador Ethernet; una parte del tráfico Ethernet se desvía al ME incluso antes de llegar al sistema operativo del host , para lo que existe soporte en varios controladores Ethernet .. " Por lo tanto, el uso de un adaptador de red no compatible en su PC Intel (en lugar de usar el integrado) debería impedir que Intel ME / AMT acceda a la red. un adaptador de red USB sería una forma segura de lograr esto, gracias a las limitaciones / simplicidad del estándar USB.

  • En cuanto a tu última pregunta , usar el enrutador para incluir en la lista blanca solo los MAC de sus PC, es una idea interesante, Espero que alguien con más información responda a eso.

referencias :

enlace

enlace

    
respondido por el puzzle 07.08.2018 - 00:32
fuente

Lea otras preguntas en las etiquetas